セキュリティの脅威と脆弱性
セキュリティ脅威(security threat)
脅威とは
脅威とは、情報資産に損失を発生させる直接的な原因のことです。
- 環境的要因
- 不測の災害やシステム障害といった環境的要因に対する対策としては、データのバックアップやシステム復旧の事前準備が必要となります。
- 人的脅威
- 人的脅威(偶発的な脅威)に対しては技術的な対策と規則・制度的な対策を行うことが必要になります。
脅威の分類
脅威は発生源によって以下のように分類されます。
| 災害による脅威 | 地震、火災、風害、水害など |
| 障害による脅威 | ハードウェア障害、ソフトウェア障害、ネットワーク障害、設備障害 |
| 人的脅威 | 犯罪行為、不正行為、偶発的なミス |
人的脅威における行為による分類
システムは脅威に対して適切なセキュリティ対策(要塞化・脆弱性検査)を施す必要があります。
| 侵入 | 建物や管理室などへの物理的侵入、ネットワーク経由のシステムへの侵入 |
| 盗聴 | 音声の盗聴、ネットワークパケット情報の盗聴 |
| 改ざん | データの不正な書き換え |
| 破壊 | マシンの物理的破壊、PGM,データの消去 |
| 窃盗 | マシン等の物理的窃盗、PGMやデータの窃盗、不正コピー、不正な閲覧など |
| 妨害 | 大量データや例外データの送りつけ、デマ情報流布 |
| 不正使用 | マシンやネットワークなどのシステム資源の不正使用 |
| なりすまし | 正当な権限を持つ者になりすましシステムへ侵入 |
| 否認 | 自らの行った行為(依頼や注文など)を後から否定する |
| 踏み台 | ターゲットマシンへの侵入・攻撃などを目的に、セキュリティ対策の低いマシンに侵入してそこを攻撃拠点として利用すること |
| 過失 | 操作ミスによる重要データの消去、会社の重要書類やPCの紛失 |
セキュリティ脆弱性(Vulnerability)
脆弱性とは
脆弱性とは、情報の漏洩、紛失、改竄などのリスクを発生・拡大する要因となる弱点や欠陥のことであり、セキュリティホールとも呼びます。
情報資産の運用には、脆弱性から発生しうる損失を予想・対策する「リスクアセスメント」を適切に実施する必要があります。
ソフトウェアのセキュリティホール
セキュリティホールは、OSやソフトウェアにおけるプログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥を意味します。
セキュリティホールが発見された場合、ソフトウェア開発メーカーがパッチ(修正プログラム)を作成して提供します。
なお、OSやソフトウェアに対するセキュリティホールが発見されたときに、メーカーがパッチを配布するまでの間に、その脆弱性を利用して行われる攻撃を「ゼロデイ攻撃」といいます。
脆弱性が公開されてから、メーカーが対応策を検討してパッチを開発するため、完全な対策は困難となります。
- エクスプロイト
クラッキングについて
クラッキングとは、ネットワークに繋がれたシステムへ不正に侵入したり、コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用することです。
オンライン登録やシリアルチェックをスキップして使用するなど、悪用の目的でアプリケーションソフトウェアを改変する行為もクラッキングと呼びます。